Tietosuoja – vaikutustenarviointi
Sisältö
Vaikutustenarvioinnin tausta
Tietosuoja-asetuksen (Artikla 35) mukaan “Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle.”. Tarkempia tietoja tästä löytyy esimerkiksi osoitteesta https://tietosuoja.fi/vaikutustenarviointi. Vaikutustenarviointi tulee tehdä ennen kuin henkilötietojen käsittely aloitetaan.
Vaikutustenarviointi on mahdollista tehdä, vaikka nämä kriteerit eivät täyttyisikään. Mikäli tilanne on epäselvä, tulee vaikutustenarviointi tehdä.
Missä tilanteissa vaikutustenarvionti tulee tehdä?
Tietosuoja-asetuksessa mainitut erityistilanteet
Erityisesti asetuksessa mainitaan:
- Profilointi, automaattinen päätöksenteko silloin, jos henkilökohtaisia ominaisuuksia laajasti tai järjestelmällisesti tarkastellaan
- Laajamittainen erityisten (arkaluonteisten) henkilötietojen käsittely
- Yleisölle avoimen alueen järjestelmällinen ja laajamittainen valvonta kuuluu tähän kategoriaan.
Myös esimerkiksi uusien teknisien (vaikkapa kasvotunnistus kulunvalvonnassa) ja organisatorisien innovaatioiden käyttöönotto voi edellyttää vaikutustenarvioinnin tekemistä.
Tietosuojavaltuutetun toimiston listaamat erityistilanteet
Tietosuojavaltuutetun toimisto on julkaissut listan tilanteista, joissa vaikutustenarviointi tulee tehdä aina. Lista löytyy osoitteesta https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista . Listalla on seuraavia asioita:
- Biometristen tietojen käsittelyä
- Geneettisen tiedon käsittelyä
- Sijaintitiedon käsittelyä
- Rekisteröidyn informoinnissa tapahtuvia poikkeamia
- Ilmiantojärjestelmät (Whistleblowing)
Mikäli käsittelet näitä tietoja, tulee varmistaa onko vaikutustenarviointi tehtävä.
Muut korkean riskin tilanteet
Korkean riskin arvioinnissa tarkastellaan seuraavia osa-alueita:
- Henkilötietojen arviointi tai pisteytys: työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten, kiinnostuksen kohteiden, luotettavuuden, käyttäytymisen, sijainnin tai liikkumisen arviointi tai pisteytys (mukaan lukien profilointi ja ennakointi).
- Automaattinen päätöksenteko
- Rekisteröityjen järjestelmällinen valvonta
- Erityisiin henkilötietoryhmiin kuuluvien tai muuten hyvin henkilökohtaisten tietojen käsittely
- Tietojen laajamittainen käsittely. Tähän liittyy mm. rekisteröityjen lukumäärä, käsiteltävien tietojen lukumäärä, käsittelyn kesto ja pysyvyys ja käsittelyn maantieteellinen laajuus.
- Tietokokonaisuuksien yhdistäminen esimerkiksi eri rekistereistä
- Heikommassa asemassa olevien henkilötietojen käsittely: esimerkiksi lapset, työntekijät, potilaat, opiskelijat
- Uusien teknisten tai organisatoristen ratkaisujen soveltaminen tai innovatiivinen käyttö
- Tilanteet, joissa käsittelytoimet estävät rekisteröityjä käyttämästä oikeutta, palvelua tai sopimusta: esimerkiksi luottotoiminnassa pankkien päätökset lainan tarjoamisesta
Mitä useampi edellä olevista kohdista toteutuu suunnitellussa henkilötietoja käsittelyssä, sitä todennäköisempää on, että vaikutustenarviointi pitää tehdä:
- Jos edellä olevista kohdista toteutuu kaksi tai useampi, vaikutustenarvionti tulee tehdä. Kuitenkin, mikäli todetaan, että henkilötietojen käsittelystä todennäköisesti ei aiheudu korkeaa riskiä, voidaan vaikutustenarviointi jättää tekemättä. Tällöin perusteet dokumentoidaan.
- Mikäli edellä olevista kohdista toteutuu vain yksi kohta, vaikutustenarviointi pitää tehdä vain silloin, jos henkilötietojen käsittelystä todennäköisesti aiheutuu korkea riski.
- Epäselvissä tilanteissa vaikutustenarviointi tulee tehdä.
Vaikutustenarvioinnin tekeminen
Vaikutustenarviointi tehdään seuraavaan intranetistä löytyvään pohjaan: vaikutustenarviointi lomake.docx
Riskien kokoamisessa voidaan käyttää esimerkiksi:
- Tietosuoja riskianalyysipohja.xlsx (kirjautumisen takana) tai
- VAHTI-ohjeiden mukaisia riskienhallinnan pohjia (https://www.vahtiohje.fi/web/guest/home): VAHTI Riskiarviointi laaja.xlsx ja VAHTI Riskiarviointi-tyokaluohje.pdf
Vaikutustenarvioinnista todetaan (artikla 35), että:
- Tietosuojavastaavalta on pyydettävä neuvoa.
- Arviointiin sisällytettävä:
- Järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut
- Arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä
- Suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.
- Arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden
Valvovaa viranomaista tulee ennakkokuulla, mikäli vaikutustenarvion osoittaa korkeaa riskiä eikä sitä saada pienennettyä.
Oheismateriaalia
- Tietosuojavaltuutetun ohje: https://tietosuoja.fi/vaikutustenarviointi
- Ohjeet tietosuojaa koskevasta vaikutustenarvioinnista
Tietosuojavastaavalta voit kysyä lisätietoja.